De Europese privacyregels gaan op de schop, kondigde de Europese Commissie in januari vorig jaar aan. De Wet bescherming persoonsgegevens en haar Europese tegenhangers zijn gebaseerd op een Richtlijn uit 1995. De voorgestelde Verordening moet één regime voor privacybescherming in heel Europa brengen. Vanwege alle technische ontwikkelingen rond advertentieprofielen, cookies en Big Data zal deze Europese wet nogal wat teweeg brengen.
Game of Thrones
Het gebruik van persoonsgegevens is sinds de opkomst van internet gigantisch toegenomen. Internetdiensten worden gewoonlijk gratis, maar met advertenties geleverd. Om die advertenties aantrekkelijk te maken moeten die advertenties zo specifiek mogelijk getarget zijn. Sociale netwerken als Facebook hebben dit tot een ware kunst verheven. Wie specifiek wil adverteren bij Nederlandse vrouwen tussen 35 en 40 die recent verhuisd zijn en graag Game of Thrones kijken, kan deze groep volautomatisch gericht benaderen.
Een dergelijke profielopbouw mag commercieel interessant zijn, privacytechnisch is dit een buitengewoon verontrustende ontwikkeling. De conceptverordening is dan ook geschreven om hier een dam tegen op te werpen en de burger de controle over zijn persoonsgegevens terug te geven. Maar de voorstellen gaan veel verder. Zoals ze er nu staan krijgt bijna elke organisatie er mee te maken.
Aanscherping en uitwerking
De Privacyverordening is geen principiële wijziging, maar vooral een aanscherping en uitwerking naar de internetomgeving. Zo kreeg het ‘recht te worden vergeten’ op internet veel aandacht. Dit is echter niet meer dan een uitwerking van het bestaande recht om irrelevante persoonsgegevens te laten verwijderen.
Enkele zaken zijn wel nieuw. Neem het recht van dataportabiliteit: de betrokkene moet zijn persoonsgegevens mee kunnen nemen naar een andere verantwoordelijke, en wel in een standaard elektronisch formaat. Direct marketing wordt expliciet gereguleerd. De privacyverklaring moet worden ontdaan van juridische taal en ‘transparant en eenvoudig toegankelijk’ worden voor de leek. En bij ‘datalekken’ – een diefstal of abusievelijke publicatie van persoonsgegevens – moeten de toezichthouder en de betrokken persoon worden geïnformeerd.
Verder dwingt de Verordening tot meer accountability. Governance, procesbeheersing en compliance zijn hierbij de toverwoorden. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toestemming verkregen is). Bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En wie in een periode van twaalf maanden van meer dan 5.000 personen persoonsgegevens verwerkt, moet een onafhankelijke privacy officer aanstellen.
Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 100.000.000,- per overtreding of 5% van de wereldwijde jaaromzet. Wereldwijd, want het is expliciet de bedoeling Google, Facebook en andere Amerikaanse bedrijven te kunnen ‘pakken’. Deze vallen volgens de conceptverordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt.
Meer weten over de verordening?
ICTRecht verzorgt op 11 december de training – 6 PO punten – de privacy verordening in de praktijk. Klik hier voor meer informatie over de training.
Heeft u geen hele dag de tijd? Op 8 december verzorgt ICTRecht de webinar – 1 PO punt – Privacy 2.0. Klik hier voor meer informatie over de webinar.